近年來��,在國家信息化戰(zhàn)略的指引下,越來越多的企業(yè)核心數(shù)據(jù)承載在網(wǎng)絡(luò)環(huán)境中�,IT網(wǎng)絡(luò)環(huán)境下的信息安全問題成為信息管理者關(guān)注的問重點(diǎn)���,如何構(gòu)建信息安全保障體系�����,同時(shí)如何建立一套科學(xué)有效的評(píng)價(jià)標(biāo)準(zhǔn)�,考量系統(tǒng)的IT保障體系建設(shè)能力水平,一直是學(xué)術(shù)界和企業(yè)共同關(guān)注的焦點(diǎn)�。
作為國內(nèi)最大的固網(wǎng)電信運(yùn)營商來說���,隨著中國電信全業(yè)務(wù)運(yùn)營戰(zhàn)略的推進(jìn)����,IT系統(tǒng)(即CTG-MBOSS系統(tǒng)�����,由管理支撐系統(tǒng)MSS,業(yè)務(wù)支撐系統(tǒng)BSS�,運(yùn)營支撐系統(tǒng)OSS和企業(yè)數(shù)據(jù)架構(gòu)EDA組成) 已經(jīng)成為電信生產(chǎn)環(huán)節(jié)中不可或缺的一部分,IT系統(tǒng)的安全問題也日趨重要�����。
中國電信IT安全保障體系以CTG-MBOSS信息化架構(gòu)為基礎(chǔ)�����,是支撐企業(yè)IT安全建設(shè)和管理的基礎(chǔ)架構(gòu)��,整個(gè)體系以IT安全戰(zhàn)略為指導(dǎo)���,將組織����、策略����、運(yùn)行、技術(shù)等安全各方面要素結(jié)合起來����,通過安全管理制度的逐一落實(shí)�����,安全防護(hù)措施的統(tǒng)一部署��,循序漸進(jìn)的構(gòu)建一個(gè)科學(xué)全面的信息安全保障體系���。體系建設(shè)和實(shí)施路線遵循“管技結(jié)合、預(yù)防為主�����、注重長效�、循序漸進(jìn)”十六字方針,按照“職責(zé)明晰�、預(yù)防為主、有效識(shí)別����;主動(dòng)防御�、及時(shí)響應(yīng)、集中管控���;體系完善��、流程通暢�����、全員參與” 的路線向“可管����、可控、可信”三個(gè)階段能力目標(biāo)演進(jìn)�����,最終實(shí)現(xiàn)可信賴的IT安全運(yùn)營環(huán)境愿景���,整體安全保障體系框架如圖1所示�����。
圖 1 中國電信IT安全保障體系框架圖
其中���,安全策略體系總述了中國電信IT安全的總體方針政策、演進(jìn)策略��、標(biāo)準(zhǔn)和指南、以及各類實(shí)施細(xì)則組成�����。
安全組織體系定義了保障IT安全策略有效執(zhí)行需要的角色和職責(zé)�,為安全策略能夠貫徹實(shí)施的組織保障的保證,從職能上分為決策���、管理和執(zhí)行類別��。
安全運(yùn)行體系從IT系統(tǒng)生命周期和安全風(fēng)險(xiǎn)管控流程出發(fā)��,從開發(fā)�、建設(shè)��、維護(hù)����、響應(yīng)和核查五個(gè)階段提出安全風(fēng)險(xiǎn)管控的要點(diǎn),明確了不同階段安全防護(hù)的具體要求�,涵蓋了風(fēng)險(xiǎn)管理、系統(tǒng)開發(fā)建設(shè)�、運(yùn)行維護(hù)、事件響應(yīng)����、安全監(jiān)控和安全檢查等內(nèi)容。
技術(shù)體系是實(shí)現(xiàn)IT安全保障體系的重要手段��,從物理安全�����、網(wǎng)絡(luò)安全��、系統(tǒng)安全���、應(yīng)用安全����、數(shù)據(jù)安全和終端安全六個(gè)方面實(shí)現(xiàn)安全檢測(cè)與識(shí)別�����、安全防護(hù)���、安全審計(jì)與恢復(fù)三大保障能力��。
2 安全能力成熟度模型
為了保證電信網(wǎng)IT安全保障體系建設(shè)有序推進(jìn)并完成建設(shè)目標(biāo)���,需要一套合理的評(píng)價(jià)模型和方法對(duì)安全保障體系建設(shè)成效進(jìn)行公正有效的考量和評(píng)價(jià)��。而且該模型和方法要能夠適應(yīng)復(fù)雜的實(shí)際建設(shè)情況�,能夠包含量化評(píng)估的方法����、模型和流程,是一個(gè)全面科學(xué)的�、可量化的考評(píng)體系。
當(dāng)前國內(nèi)外關(guān)于信息安全評(píng)估的標(biāo)準(zhǔn)和考評(píng)方法形成了幾種流派���,其中國標(biāo)GB-T2027對(duì)安全建設(shè)能力成熟度評(píng)價(jià)做了基本的定義���,描述了5個(gè)級(jí)別的安全保障能力定義,分別為:未實(shí)施級(jí)����;基本執(zhí)行級(jí);計(jì)劃和跟蹤級(jí)��;充分定義級(jí)���;量化控制級(jí)���;持續(xù)改進(jìn)級(jí)等五個(gè)級(jí)別����,上述5個(gè)能力級(jí)別對(duì)能力特征進(jìn)行了充分的定義���,但沒有給出具體的操作細(xì)則。
在結(jié)合了國家標(biāo)準(zhǔn)和電信實(shí)際現(xiàn)狀后����,結(jié)合其他行業(yè)最佳實(shí)踐和中國電信實(shí)際情況,從考核指標(biāo)量化入手��,圍繞五級(jí)能力成熟度模型��,形成一個(gè)可持續(xù)改進(jìn)的IT安全保障體系能力成熟度模型和評(píng)價(jià)方法�����,模型從IT安全規(guī)劃建設(shè)���、運(yùn)作����、技術(shù)保障、管理措施等幾個(gè)方面因素入手����,建立一種普遍適應(yīng)的評(píng)價(jià)準(zhǔn)則,對(duì)安全能力建設(shè)做出評(píng)價(jià)�����,指導(dǎo)企業(yè)開展安全建設(shè)工作�。
2.1 考量指標(biāo)
評(píng)估IT安全保障體系能力成熟度通過上述安全保障體系策略、組織����、運(yùn)行和技術(shù)四個(gè)層次來進(jìn)行,每一個(gè)層次包含不同的內(nèi)容�����,對(duì)應(yīng)著不同的標(biāo)準(zhǔn)和考核指標(biāo)���。在每一個(gè)層次中��,有關(guān)鍵指標(biāo)�����,圍繞關(guān)鍵指標(biāo)���,有相應(yīng)的具體流程和活動(dòng)��,能力評(píng)估就是根據(jù)這些關(guān)鍵指標(biāo)和相應(yīng)流程合活動(dòng)的情況合狀態(tài)來進(jìn)行的��。在IT安全保障體系能力成熟度模型中,會(huì)有對(duì)每個(gè)層次的不同級(jí)別的關(guān)鍵指標(biāo)�����、標(biāo)準(zhǔn)流程的詳細(xì)定義和描述����,同時(shí)會(huì)有能力不足的措施說明等。
IT安全保障體系能力水平�,包括四大體系的能力成熟度因素:
(1)策略體系:安全策略相關(guān)的企業(yè)安全戰(zhàn)略、安全滾動(dòng)規(guī)劃����、安全建設(shè)資金投入、安全資源保障的健全程度�����。
(2)組織體系:安全組織和人員配置程度,安全組織的運(yùn)作和執(zhí)行效能��,全員安全素質(zhì)水平�,對(duì)人員的安全管理水平。
(3)運(yùn)作體系:圍繞IT系統(tǒng)生命周期��,從設(shè)計(jì)��、建設(shè)和運(yùn)維幾個(gè)層面執(zhí)行安全管控的規(guī)范化和標(biāo)準(zhǔn)化程度����,安全管理的成熟度和水平。
(4)技術(shù)體系:針對(duì)安全技術(shù)保障措施和防護(hù)手段的建設(shè)完善程度�。
評(píng)估能力成熟度主要依據(jù)目前的能力狀態(tài)是否達(dá)到規(guī)定的要求而進(jìn)行劃分,能力不達(dá)標(biāo)則能力成熟度低���,反之則高����。因此�,評(píng)估模型對(duì)IT安全保障體系能力成熟度劃分等級(jí)進(jìn)行分值評(píng)估,在每個(gè)層次的能力成熟度模型中有詳細(xì)的關(guān)鍵指標(biāo)��,還有詳細(xì)的標(biāo)準(zhǔn)流程和活動(dòng)指標(biāo)��,再根據(jù)指標(biāo)的等級(jí)和關(guān)鍵程度可以設(shè)置權(quán)重,最后再計(jì)算總分��。最后��,針對(duì)所有的關(guān)鍵指標(biāo)或者所有的標(biāo)準(zhǔn)指標(biāo)的累計(jì)分?jǐn)?shù)整個(gè)IT安全保障體系能力成熟度進(jìn)行總分評(píng)定�,成熟度評(píng)估具體執(zhí)行中將采取調(diào)查、調(diào)研�����、訪談��、效果跟蹤等方法進(jìn)行�。
2.2 計(jì)算方法
(1)體系成效考量計(jì)算方法
IT安全保障體系的建設(shè)成效= 安全策略體系水平*α+安全組織體系水平*β+安全運(yùn)作體系水平*γ+安全技術(shù)保障措施建設(shè)水平*δ����。
α、β��、γ����、δ分別表示IT安全策略體系、安全組織體系水平��、安全運(yùn)作體系水平和安全技術(shù)保障措施建設(shè)水平的重要性賦值所占的權(quán)重,其中α≥0��,β≥0���,γ≥0��,δ≥0且α+β+γ+δ=1�。
(2)體系水平成熟度計(jì)算方法
安全策略體系水平=α1*策略指標(biāo)項(xiàng)1+α2*策略指標(biāo)項(xiàng)2+α3*策略指標(biāo)項(xiàng)3+α4*策略指標(biāo)項(xiàng)4+… …���。
其中�����,α1����、α2����、α3、α4等分別為各個(gè)指標(biāo)項(xiàng)的加權(quán)因子�����, =1,安全策略指標(biāo)項(xiàng)分值和權(quán)重因子數(shù)值由細(xì)則另行定義���。
其余三個(gè)能力指標(biāo)安全組織體系水平��、安全運(yùn)作體系水平和安全技術(shù)保障措施建設(shè)水平成熟度計(jì)算方案以此類推�����。
(3)體系成效考量評(píng)價(jià)矩陣
針對(duì)IT安全保障體系建設(shè)成效�����,建立IT安全保障體系成熟度衡量標(biāo)準(zhǔn)和指標(biāo)���,具體如表1所示����。
3 安全能力評(píng)估實(shí)踐
在以上安全能力成熟度模型基礎(chǔ)上,通過建立一套可操作的能力達(dá)標(biāo)評(píng)價(jià)標(biāo)準(zhǔn)-安全基線(Security BaseLine)����,考量IT安全保障體系建設(shè)成效,實(shí)現(xiàn)保障體系水平真正可量化評(píng)價(jià)。中國電信IT安全基線考評(píng)方法描述了CTG-MBOSS系統(tǒng)最基本的安全要求���,通過安全基線考核指標(biāo)���,實(shí)現(xiàn)對(duì)企業(yè)各IT系統(tǒng)安全建設(shè)成效和管理水平的動(dòng)態(tài)管理, 促進(jìn)IT安全管理能力提升。
中國電信IT安全基線達(dá)標(biāo)標(biāo)準(zhǔn)��,從管理和技術(shù)兩個(gè)維度對(duì)如何考察安全建設(shè)能力給出了詳細(xì)的達(dá)標(biāo)評(píng)比辦法����,將安全能力分為C級(jí)、B級(jí)�、A級(jí)。分為組織架構(gòu)管理���、人員安全管理�����、運(yùn)維安全管理�����、應(yīng)用安全��、主機(jī)安全�����、網(wǎng)絡(luò)安全�、審計(jì)安全管理七大項(xiàng)。一個(gè)完整的安全基線保障體系應(yīng)該是將安全管理和安全技術(shù)手段相結(jié)合�����,通過各種安全管理制度�、安全組織機(jī)構(gòu)和安全運(yùn)維制度等方面的建設(shè),并在網(wǎng)絡(luò)層����、主機(jī)層、應(yīng)用層采取各種安全技術(shù)手段建立多層保護(hù)的深度防御保障體系��。從安全基線可操作性的角度出發(fā)�,在安全管理層面應(yīng)將組織架構(gòu)管理要求、人員安全管理要求和運(yùn)維安全管理要求等三部分作為IT系統(tǒng)安全的基線考評(píng)要求�����,在安全技術(shù)層面應(yīng)將應(yīng)用安全要求�����、主機(jī)安全要求�����、網(wǎng)絡(luò)安全要求和安全審計(jì)要求等4部分作為IT系統(tǒng)安全的基線考評(píng)要求����,通過建立健全I(xiàn)T系統(tǒng)管理與技術(shù)防護(hù)體系,逐步提升IT系統(tǒng)整體安全防護(hù)能力����。IT安全基線評(píng)分標(biāo)準(zhǔn)如圖2所示。
圖2 IT 安全基線指標(biāo)分解示例圖
在實(shí)際操作中�����,IT安全基線達(dá)標(biāo)測(cè)評(píng)采取打分的方式進(jìn)行量化操作�,對(duì)每一個(gè)檢測(cè)項(xiàng)打分,屬于判斷結(jié)果為“是”或“否”的檢測(cè)項(xiàng)�����,結(jié)果為“是”則評(píng)1分����,為“否”則評(píng)0分��。根據(jù)各項(xiàng)總分?jǐn)?shù)對(duì)IT系統(tǒng)的安全評(píng)測(cè)結(jié)果分別進(jìn)行等級(jí)化評(píng)定�,IT安全基線能力基線視圖和判定方法如圖3所示���。
圖3 IT安全基線達(dá)標(biāo)考核示例圖
圖3中的連線為IT安全達(dá)標(biāo)能力的基本水平線����,也真正體現(xiàn)了能力“基線”的真正意義���。
4 結(jié)束語
綜上所述��,本文在IT安全保障體系模型框架基礎(chǔ)上�����,闡述了一個(gè)可持續(xù)改進(jìn)的IT安全保障體系能力成熟度模型��,從IT安全規(guī)劃建設(shè)���、運(yùn)作、技術(shù)保障�、管理措施等幾個(gè)方面因素入手,找出一套合理的評(píng)價(jià)方法對(duì)安全保障體系建設(shè)成效進(jìn)行公正有效的考量和評(píng)價(jià)�����,給出了一個(gè)具有普遍性的具體可操作的安全基線達(dá)標(biāo)實(shí)踐方法����,可指導(dǎo)企業(yè)開展IT安全建設(shè)能力評(píng)價(jià)工作。
